Bei Industrial Security geht es nicht nur darum, Mauern aufzubauen und den Einlass zu kontrollieren. Die Mauern müssen bemannt sein und Hintertürchen darf es keine geben.

Bei Industrial Security geht es nicht nur darum, Mauern aufzubauen und den Einlass zu kontrollieren. Die Mauern müssen bemannt sein und Hintertürchen darf es keine geben.Thomas Otto – Fotolia.com

Gleich zu Beginn räumt Konferenzleiter Prof. Dr. Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, mit dem Mythos auf, dass Cyber-Attacken immer hochkomplexe Angriffe à la Stuxnet seien: „Angriffe sind meistens nicht mit hochkomplexen Technologien verbunden, sondern mit dem einfachen Ausnutzen von Zugriffsrechten.“ So finden sich 91 % aller genutzten Passwörter auf der Top-10 000-Liste der belieb­testen Passwörter. Diese Liste muss das Programm eines Angreifers nur automatisch durchspielen und schon öffnet sich die Tür zu dem leidlich geschützten System. Auch das Argument ‚Nur große Firmen werden angegriffen‘ gilt längst nicht mehr. „KMUs werden immer mehr ins Visier genommen“, stellt Michael Goedeker vom IT-Security-Unternehmen Sophos fest. Außerdem werden Angriffe immer heimlicher: Angriffe auf das Produktionssystem oder der Datenklau sollen möglichst lange nicht auffallen.

„Es gibt Schulen in China und anderen Ländern, wo ITler zu spezialisierten Hackern ausgebildet werden. Diese Hacker wissen ganz genau, was sie wollen.“ Michael Goedeker, Sophos

„Es gibt Schulen in China und anderen Ländern, wo ITler zu spezialisierten Hackern ausgebildet werden. Diese Hacker wissen ganz genau, was sie wollen.“ Michael Goedeker, SophosRedaktion IEE

Obwohl die meisten Cyber-Attacken bei weitem nicht die Komplexität eines Stuxnet oder Flame erreichen; die Zeit der Skriptkiddies ist vorbei. Skriptkiddies sind Personen, die im Internet kursierende Hackertools nutzen, um in Systeme einzubrechen. Sie haben aber nicht das Know-how, solche Software selbst zu ­schreiben oder deren Vorgehensweisen vollkommen zu verstehen. Auch wenn es solche Angriffe weiterhin gibt und geben wird, richten sie aber bei weitem nicht den Schaden an, den gezielte Angriffe verursachen. Denn auch die Anzahl der gezielten Angriffe nimmt zu. Laut Angaben des Security-Unternehmens Symantec nahmen 2012 gezielte Attacken um 42 % zu. Den größten Anstieg verzeichnete Symantec bei Unternehmen mit weniger als 250 Mitarbeitern. Der Maschinenbau rückte als am meisten von Cyber-Attacken betroffene Branche an die Spitze der Statistik – noch vor den Banken- und den Energiesektor. „Es gibt Schulen in China und anderen Ländern, wo ITler zu spe­zialisierten Hackern ausgebildet werden“, gibt Goerdeker zu bedenken. „Diese ­Hacker wissen ganz genau, was sie wollen“, ergänzt er. „Wir haben es mit organisierter Kriminalität zu tun,“ fasst ­Sebastian Rohr, Geschäftsführer des auf Industrial Security spezialisierten Unternehmens ­Accessec, zusammen. „Und mit Staaten, die professionelle Spionage betreiben“, kommentiert er mit Blick auf die großflächige Datenspionage der amerikanischen Geheimdienste. Dass es keine staatlich organisierte Wirtschaftsspionage gibt, ist durch die Erkenntnisse rund um Prism ein optimistischer Gedanke, der sich nicht mehr halten lässt. Im sogenannten Darknet, quasi einem Schwarzmarkt im Internet, kann man Hacks auf Unternehmen ab 15.000 Euro kaufen, inklusive Erfolgsgarantie und Update-Routinen für die eingesetzten Tools.

Gegen die verschiedenen Gefahren, der eine Produktion ausgesetzt ist, müssen verschiedene Schutzmaßnahmen getroffen werden – abgestimmt auf das Risiko und den potenziellen Schaden.

Gegen die verschiedenen Gefahren, der eine Produktion ausgesetzt ist, müssen verschiedene Schutzmaßnahmen getroffen werden – abgestimmt auf das Risiko und den potenziellen Schaden.Frithjof Klasen, FH Köln

Security muss mehrstufig sein

Um sich bestmöglich gegen Cyber-Attacken zu schützen, empfehlen die Experten ein Defence-in-Depth-Konzept. Gemeint ist damit eine Strategie, die nicht auf eine einzige starke Abwehrmaßnahme setzt, sondern auf gestaffelte und spezialisierte. Am Anfang eines Defence-in-Depth-Konzept steht die Aufnahme des Ist-Zustands: Welche Systeme und Geräte habe ich? Welche Software kommt zum Einsatz? Was ist wie wichtig? „Nur wenn ich weiß, was ich habe, kann ich es schützen“, fasst Rohr den Sinn eines umfangreichen Asset Managements zusammen. Im nächsten Schritt müssen potenzielle Bedrohungen und vorhandene Schwachstellen evaluiert werden. „Bedrohung plus Schwachstelle ergibt einen Schaden“, erläutert Prof. Dr. Frithjof Klasen, Leiter des Instituts Automation & Industrial IT der FH Köln. „Keine Schwachstelle, kein Schaden“, schließt er ab. Risikoanalyse ist hier unabdingbar. Dann gilt es, die vorhandenen Schwachstellen zu beseitigen. Hier sollte die volle Bandbreite der Security-Maßnahmen ausgeschöpft werden. Eine Firewall alleine macht keine Produktion sicher. Die Firewall muss auch genau wissen, was sie in welche Richtung durchlassen darf und was nicht. Whitelisting von Programmen und das Schließen von unnötigen Ports sind die ersten wichtigen Schritte. Weiter kann es damit gehen, das Netzwerk in kleinere Subnetze aufzuteilen – alle wiederum mit einer Firewall als Türsteher Dass jeder Bediener sein eigenes Benutzerprofil und Passwort haben sollte, versteht sich eigentlich von selbst, ist in der Praxis aber schwer umzusetzen. Benutzergruppen, beispielsweise eine Schicht, sollten aber so klein wie möglich gefasst werden. Wenn die Mauern und Torwächter rund um die Produktion aufgebaut sind, muss auch ein Wächter auf dem Burgturm sitzen. Er muss melden, wenn ein Angriff versucht wird oder ­bereits Erfolg hatte. Netzwerk-Monitoring und -Management sind hier die Stichworte.

„Bedrohung plus Schwachstelle ergibt einen Schaden. Keine Schwachstelle, kein Schaden.“ Prof. Dr. Frithjof Klasen, Institut Automation & Industrial IT der FH Köln

„Bedrohung plus Schwachstelle ergibt einen Schaden. Keine Schwachstelle, kein Schaden.“ Prof. Dr. Frithjof Klasen, Institut Automation & Industrial IT der FH KölnRedaktion IEE

Security gibt es nicht von der Stange

Zum Leidwesen der Endanwender und Betreiber gibt es keine ultimative Art und Weise, ein System abzusichern. Der Wunsch des Tagungspublikums nach einfachen Lösungen wurde vor allem in den Fragerunden deutlich. Auch die einschlägigen Normen helfen eher bei der strukturierten Herangehensweise als beim konkreten technischen Aufbau. Das liegt einerseits an der Heterogenität von Produktionssystemen und andererseits auch daran, dass IT-Sicherheit immer ein Katz-und-Maus-Spiel ist. Findige Hacker sind immer auf der Suche nach neuen Schlupflöchern und sowohl Entwickler als auch Security-Verantwortliche müssen am Ball bleiben, um keine neuen Schwachstellen entstehen zu lassen. Das 100%ig sichere System oder Gerät gibt es nicht. Produk­tionsumstellungen, die immer schneller und öfter vorkommen, sind eine weitere Schwierigkeit und verhindern den Aufbau eines einheitlichen, statischen Sicherheitssystems. Deswegen müssen Security-Systeme einem fortlaufenden Evaluierungsprozess unterliegen, der nicht nur bei ­neuen Geräten oder Anlagenteilen angestoßen wird, sondern regelmäßig erfolgt – auch ohne dass es einen Sicherheitsvorfall gab.

Unternehmen müssen IT-Security als fortlaufenden Prozess verstehen und nicht als einmalige Maßnahme.

Unternehmen müssen IT-Security als fortlaufenden Prozess verstehen und nicht als einmalige Maßnahme.Sebastian Rohr, Accessec

Security besteht aber nicht nur aus dem Sicherheitssystem um und in der Produktion, sondern auch aus den Automatisierungsgeräten selbst. „Security muss ein Designziel werden“, fordert Professor Klasen. Denn auch Automatisierungs­geräte müssen Mindestanforderungen an die Security genügen. Verschlüsselte Passwörter und ein robustes Design, das auch mal einen Portscan aushält, sind Mindestanforderungen. So berichtet Fabian Koch, Cyber Security Manager bei ABB, vom firmeneigenen Testcenter, in dem alle Produkte als fester Bestandteil des Entwicklungsprozesses Security-Tests durchlaufen. Fällt das Gerät durch, geht es zurück in die Entwicklung. Auch die Benutzerfreundlichkeit spielt bei der Security eine Rolle. Denn das schönste Rechtemanagement nützt nichts, wenn es kompliziert zu administrieren und zu bedienen ist.

Die Lösung parallel zur Technik

Die Technik allein macht noch kein System sicher. Denn Hacker, Viren und Trojaner finden ihren Weg in die Produktion nicht nur über das Internet. Der einfachste Weg ist oft das sogenannte Social Engineering. Mit Social Engineering sind Techniken gemeint, die menschliche Fehler ausnutzen – Neugierde, Angst oder auch Nachlässigkeit. Zum Beispiel der USB-Stick in Form einer Quietscheente, der auf dem Firmenparkplatz liegen gelassen wird. Irgendjemand wird das harmlos erscheinende Ding schon in einen Firmencomputer stecken. Damit ist der Virus im Netzwerk und begibt sich auf die Suche nach wichtigen Daten oder Geräten des Produktionssystems. Ein anderer verbreiteter Trick ist, sich am Telefon als Servicetechniker eines Dienstleisters auszugeben, der wegen eines Fehlers jetzt sofort an das System muss und dafür das Passwort des Mitarbeiters braucht. Mit genug Souveränität und dem Androhen von wirtschaftlichen Verlusten bringen Hacker Menschen so dazu, Passwörter herauszugeben. Einmal auf dem Fabrikgelände ist es auch ein leichtes, sich ­einen Kittel mit Firmenlogo zu besorgen und einen Mitarbeiter einfach um den Steuerungscode zu bitten. In den meisten Fällen kommt der Hacker damit durch. Es gilt also, die Mitarbeiter so lange aufzuklären und zu sensibilisieren, bis sie ihre Passwörter so gut hüten wie ihren Haustürschlüssel.

Wenn der ominöse Servicetechniker am Telefon einmal abgewimmelt ist, versucht er es bestimmt beim nächsten Kollegen. Es muss eine zentrale Anlaufstelle geben, an die sich Mitarbeiter wenden können, wenn ihnen Sicherheitsbrüche oder auch Einbruchsversuche unterkommen. Eine Warn-E-Mail an alle Mitarbeiter reicht oft aus, dass sich der Hacker die Zähne an den informierten Mitarbeitern ausbeißt. Gleiches gilt für rein technische Angriffe. Auch ein Security-System muss ständig überwacht werden. Jedes Unternehmen benötigt einen konkreten Ansprechpartner zum Thema Security, der auch befugt ist, Entscheidungen zu treffen. Denn nicht jeder Angriff ist gleich gefährlich und nicht jedes angegriffene System oder Gerät ist gleich wichtig. Wann welche Maßnahmen zu treffen sind – vom kompletten Produktionsstopp bis zum Abschalten eines einzelnen Geräts – muss abgewogen werden. Dazu braucht der Verantwortliche sowohl Prozess- als auch IT-Wissen. Hier liegt oft ein Knackpunkt, denn so richtig grün sind sich die beiden Bereiche auch heute noch nicht.

„In zehn Jahren gehört das Netz der Automation und nicht der IT, weil sie dann mehr Netzwerkteilnehmer haben wird.“ Alexander Rinker, Daimler

„In zehn Jahren gehört das Netz der Automation und nicht der IT, weil sie dann mehr Netzwerkteilnehmer haben wird.“ Alexander Rinker, DaimlerRedaktion IEE

ITler versus Automatisierer

„Die Maßnahmen aus der IT-Welt können nicht 100 %ig auf die Produktion übertragen werden“, fasst Klasen die Kluft zwischen IT und Automation zusammen. Jeden Mittwoch Firmware-­Updates oder Securitypatches einzuspielen, ist nicht möglich. Oft gilt die Devise ‘never touch a running system‘. Denn Hersteller von Maschinen oder Anlagenteilen verbieten oft kategorisch den Eingriff in ihr System und drohen mit Garantieverlust oder Kündigung des Servicevertrages. Weitere Verständnisprobleme liegen in der Priorisierung der Netzwerk­

eigenschaften. In Office-Netzen stehen Integrität und Vertraulichkeit an oberster Stelle. Wenn ein Netzwerkteilnehmer ausfällt, also die Verfügbarkeit nicht gewährleistet ist, ist dies in den seltensten Fällen eine Katastrophe. Wenn in der Produk­tion ein Teilnehmer ausfällt, kann das den kompletten Prozess zum Erliegen bringen. Egal welche Security-Maßnahmen getroffen werden, für die Produktion ist Verfügbarkeit oberstes Gebot. „In der Produktion geht es um Verfügbarkeit, da muss man die ITler ins Gebet nehmen“, fasst Alexander Rinker, Automation Security Architect beim Mercedes-Benz Werk in Sindelfingen, den Kommunikations­bedarf beider Welten zusammen. Er wirft außerdem einen bezeichnenden Blick in die Zukunft: „Heute haben wir über 250 IP-Adressen in einer einzigen Produktions­zelle. In zehn Jahren gehört das Netz der Automation und nicht der IT, weil wir dann einfach mehr Netzwerkteilnehmer haben.“ Ob die ITler ihre Hoheit über das Netzwerk aber so einfach aufgeben werden, steht in den Sternen.